Secuela del hack de Polkadot: La acuñación de Hyperbridge activa 1 mil millones de DOT puenteados en Ethereum

Las preguntas de seguridad resurgieron en los mercados de criptomonedas tras el reciente incidente de hackeo en Polkadot en la puerta de enlace de Ethereum de Hyperbridge, lo que provocó una respuesta oficial del equipo de la red.

Polkadot aclara el impacto de la explotación en Hyperbridge

El 13 de abril de 2026, Polkadot emitió un comunicado público abordando un incidente de seguridad que afectó al contrato de la puerta de enlace de Ethereum utilizado por Hyperbridge. El proyecto confirmó que solo DOT puenteado en Ethereum había sido comprometido, mientras que los activos de la red principal permanecieron intactos.

El equipo afirmó: “Estamos al tanto de un problema que afecta al contrato de la puerta de enlace de Ethereum de Hyperbridge.” Sin embargo, la actualización enfatizó que el problema era limitado en alcance y no se extendía a toda la red de Polkadot ni a su cadena de relevo.

Además, Polkadot subrayó: “La explotación solo afecta a DOT en Ethereum que está puenteado a través de Hyperbridge y no afecta a DOT en el ecosistema de Polkadot, ni a DOT puenteado mediante otros puentes.” Esta aclaración buscaba trazar una línea clara entre los tokens afectados y los activos nativos.

Por lo tanto, el evento no impactó a DOT nativo en la cadena de relevo, las parachains u otros ecosistemas conectados a Polkadot. Sin embargo, el sentimiento del mercado se volvió negativo. El precio de DOT cayó un 4,77% hasta $1,16 en el momento de la publicación, subrayando una caída clara en el precio de DOT vinculada a la alarma de seguridad.

Hyperbridge detiene operaciones y revela cifras de pérdidas

Como medida de precaución, los servicios de puente vinculados al contrato comprometido fueron suspendidos de inmediato. Polkadot señaló que “Hyperbridge ha sido pausado mientras se investiga el problema,” señalando una acción urgente para contener posibles daños adicionales.

Además, Hyperbridge publicó un informe detallado del incidente explicando la explotación y sus consecuencias. Declaró: “El 13 de abril de 2026, se explotó una vulnerabilidad en el Token Gateway de Hyperbridge, resultando en pérdidas aproximadas de 237,000 dólares en Ethereum.” Esta cifra representa el impacto financiero directo identificado hasta ahora.

La plataforma enfatizó que muchos sistemas de cadena cruzada hoy en día dependen de conjuntos de validadores o aprobaciones multisignature. Sin embargo, tales diseños introducen supuestos de confianza estructurales que pueden ser abusados. Hyperbridge señaló que estos modelos han contribuido colectivamente a más de $2 mil millones en pérdidas acumuladas en puentes en toda la industria.

Dicho esto, el proyecto argumentó que su propia arquitectura fue diseñada para reducir estos riesgos de seguridad en la cadena cruzada, favoreciendo las pruebas criptográficas del blockchain subyacente en lugar de confiar en grupos centralizados de aprobadores humanos o institucionales.

Dentro del error de verificación de la Merkle Mountain Range

Hyperbridge explicó que su sistema intenta reducir las amenazas de falsificación de tokens puenteando mediante anclar la seguridad en la verificación criptográfica. Sin embargo, el informe deja claro que la explotación no provino de una falla conceptual en su enfoque criptográfico.

En cambio, la investigación encontró que la causa raíz fue una vía de falsificación de pruebas en la implementación de Hyperbridge. Específicamente, se descubrió un error en la lógica de verificación de pruebas de Merkle Mountain Range basada en Solidity utilizada por el contrato de la puerta de enlace de Ethereum.

Según el informe, este error en la Merkle Mountain Range surgió en la implementación del verificador del árbol Merkle que intentaba reflejar la lógica ascendente de Polkadot. Sin embargo, la falla llevó al sistema a tratar ciertas pruebas inválidas como válidas, rompiendo las garantías de seguridad previstas.

Fue esta falla en la verificación la que permitió que un mensaje malicioso pasara las controles de seguridad. Como resultado, el atacante obtuvo efectivamente control a nivel administrativo sobre el contrato de tokens DOT puenteados en Ethereum, abriendo la puerta a una creación extensa de tokens.

Cómo se creó y vendió el bridged DOT falsificado de 1 mil millones

Una vez que el atacante tuvo este acceso elevado, procedió con lo que los investigadores describen como la acuñación masiva de DOT puenteados. El explotador acuñó 1 mil millones de tokens DOT puenteados, aprovechando el contrato comprometido para sortear los límites normales de emisión.

Esta oferta recién creada superó con creces los DOT puenteados legítimos en circulación en Ethereum, que estaban en aproximadamente 356,000 tokens. En términos numéricos, la emisión falsa superó la oferta circulante real en más de 2,800 veces, destacando la gravedad de la vulnerabilidad en el puente de Ethereum.

Sin embargo, el atacante no mantuvo la posición por mucho tiempo. El informe señala que los tokens falsificados fueron rápidamente movidos a intercambios descentralizados y otros lugares de comercio similares. Allí, fueron vendidos en el mercado, convirtiendo la explotación en fondos líquidos.

En su comunicación, Polkadot enmarcó el evento como una grave falla en la infraestructura de terceros, más que una falla de la red principal en sí. Sin embargo, el hackeo de Polkadot ha reavivado el debate sobre la fragilidad de las arquitecturas de puentes y su papel en la interoperabilidad entre cadenas.

Investigación en curso y próximos pasos

Además, Hyperbridge confirmó que está trabajando en estrecha colaboración con sus socios de seguridad para rastrear el movimiento de los fondos robados en la cadena. El equipo también está evaluando posibles vías de recuperación y estrategias de mitigación para abordar el daño financiero.

Hyperbridge se comprometió a compartir más detalles sobre la explotación de Hyperbridge a medida que avanza la investigación y se descubren nuevas evidencias. Sin embargo, no se ha proporcionado un cronograma concreto para la reapertura completa de los servicios de puente ni para algún proceso de restitución.

Por ahora, el puente a través de Hyperbridge permanece detenido mientras los equipos técnicos revisan la implementación de las pruebas Merkle, la lógica del contrato y los sistemas de monitoreo. Esta pausa busca garantizar que no se puedan explotar nuevamente vectores similares de falsificación de pruebas mediante la misma vía.

En resumen, el incidente expuso una debilidad crítica en un componente de Ethereum del ecosistema de Polkadot, que llevó a una pérdida de 237,000 dólares y a una caída a corto plazo en la confianza del mercado. Sin embargo, DOT nativo, parachains y la infraestructura de la cadena de relevo no fueron vulnerados, lo que subraya que el modelo de seguridad del protocolo principal permanece intacto a pesar del fallo en Hyperbridge.